委託先の監督
Pマーク取得事業者は、JISQ15001:2006 「3.4.3.4 委託先の監督」で定められている通り、個人情報を委託する事業者を適切に監督する必要があります。ここで言う監督とは、個人情報を委託する際の委託先を選ぶ際の基準を定めること、委託先と個人情報の管理について適切な契約を取り交わすこととなります。つまり、Pマークを取得している事業者は個人情報を取り扱う業務の委託時には、自社で定めた基準による選定と契約の取り交わしが必要となり、何もおこなわずに委託契約を締結してはならないということになります。
委託先の選定方法
委託先を選定する方法については、自社で作成したチェックシートやアンケートなどを委託先に送付して回答してもらうケースが一般的です。また、PマークやISMSなどの認証を取得しているかどうかを基準にする場合もあります。選定基準はどのような項目を含む必要があるかについては要求事項には記載はありませんが、社内で個人情報取扱いのルールを定めているか、アクセス制限など適切な安全管理をおこなっているかなど20項目程度の基準を作成するのが一般的となっています。
委託先との契約
委託先との契約については要求事項で明確に盛り込む事項が記載されています。
a) 委託者及び受託者の責任の明確化
b) 個人情報の安全管理に関する事項
― 個人情報の漏えい防止,盗用禁止に関する事項
― 委託範囲外の加工,利用の禁止
― 委託契約範囲外の複写,複製の禁止
― 委託契約期間
― 委託契約終了後の個人情報の返還・消去・廃棄に関する事項
c) 再委託に関する事項
d) 個人情報の取扱状況に関する委託者への報告の内容及び頻度
e) 契約内容が遵守されていることを委託者が確認できる事項
f) 契約内容が遵守されなかった場合の措置
g) 事件・事故が発生した場合の報告・連絡に関する事項
これらの事項が業務委託契約書かあるいは個別で取り交わす覚書などに含まれていることが必要となります。一般的な業務委託契約書には通常ここまで個人情報についての条項は入れていない事業者が多いため、個別で個人情報関連の項目について覚書を交わす方がよいでしょう。新規に委託契約を開始する場合は、業務委託契約書を改訂したほうが進めやすいかもしれません。契約書に記載する具体的な文言などについては、コンサルティング会社などに相談してみるとよいでしょう。